RapperBot僵尸网络:毫秒级劫持设备发动DDoS攻击
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
2025年4月,研究人员发现RapperBot僵尸网络利用被入侵的NVR设备发起快速的UDP泛洪攻击,峰值能力超过7Tbps。该恶意软件通过暴力破解和伪装固件更新感染设备,利用NFS协议规避检测,感染过程隐蔽,几乎不留痕迹。
🎯
关键要点
- 2025年4月,研究人员发现RapperBot僵尸网络利用被入侵的NVR设备发起UDP泛洪攻击。
- 攻击流量在感染后数毫秒内激增,导致服务中断和带宽耗尽。
- RapperBot通过暴力破解和伪装固件更新感染设备,攻击链速度极快。
- 恶意软件通过加密DNS TXT记录查询获取C2服务器IP地址,并在80端口发起UDP泛洪攻击。
- 单台设备的吞吐量超过1Gbps,整个僵尸网络的峰值攻击能力超过7Tbps。
- RapperBot利用NFS协议规避检测,感染过程隐蔽,几乎不留痕迹。
- C2发现机制依赖于托管在OpenNIC域名上的加密TXT记录,恶意软件随机选择主机名进行解析。
- 感染机制通过路径穿越漏洞下载账户配置文件,发起虚假固件更新,发送恶意负载。
- 该方法规避了NVR设备环境的限制,通过NFS协议实现感染,减少取证痕迹。
❓
延伸问答
RapperBot僵尸网络是如何感染设备的?
RapperBot通过暴力破解和伪装固件更新感染设备,利用路径穿越漏洞下载账户配置文件,发起虚假固件更新,发送恶意负载。
RapperBot的攻击能力有多强?
RapperBot的整个僵尸网络峰值攻击能力超过7Tbps,单台设备的吞吐量超过1Gbps。
RapperBot是如何规避检测的?
RapperBot利用NFS协议规避检测,感染过程隐蔽,几乎不留痕迹,且通过加密DNS TXT记录查询获取C2服务器IP地址。
RapperBot的攻击链速度有多快?
RapperBot在感染后数毫秒内就能发起攻击,攻击链速度极快。
RapperBot是如何发起UDP泛洪攻击的?
RapperBot在获取C2服务器IP地址后,通过80端口持续发起UDP泛洪攻击。
RapperBot的C2服务器发现机制是什么?
RapperBot的C2发现机制依赖于托管在OpenNIC域名上的加密TXT记录,恶意软件随机选择主机名进行解析。
➡️
